Escolar Documentos
Profissional Documentos
Cultura Documentos
Dilma Rousseff
Vice-Presidente da República
Michel Temer
ESTRATÉGIA DE SEGURANÇA DA
INFORMAÇÃO E COMUNICAÇÕES E DE
SEGURANÇA CIBERNÉTICA DA
ADMINISTRAÇÃO PÚBLICA FEDERAL
2015-2018
Versão 1.0
Brasília – DF
2015
Copyright© 2015 – Presidência da República. Permitida a reprodução sem fins lucrativos, parcial ou total,
por qualquer meio, desde que citada a fonte.
Ficha Catalográfica
Dados Internacionais de Catalogação na Publicação (CIP)
B823e Brasil. Presidência da República. Gabinete de Segurança Institucional.
Estratégia de segurança da informação e comunicações e de segurança cibernética da administração
pública federal 2015-2018 : versão 1.0 / Gabinete de Segurança Institucional, Secretaria-Executiva,
Departamento de Segurança da Informação e Comunicações. – Brasília : Presidência da República, 2015.
82 p. : il.
ISBN
CDD 005.8
[A Portaria SE/CDN No. 14, de 11 de maio de 2015, publicada no DOU No. 88 de 12/05/2015, homologa esta Estratégia]
O planejamento é uma das maiores conquistas libertárias que o homem pode almejar. Porque o plano
é a tentativa do homem para criar seu futuro; é lutar contra as tendências e correntes que nos arrastam;
é ganhar espaço para escolher; é mandar sobre os fatos e as coisas para impor a vontade humana; é
recusar-se a aceitar o resultado social que a realidade atomizada de infinitas ações contrapostas
oferece-nos anarquicamente; é rejeitar o imediatismo; é somar a inteligência individual para multiplicá-
la como inteligência coletiva e criadora.
Carlos Matus
"Gestão Pública é um campo de conhecimento peculiar. Trata-se de uma área por definição
interdisciplinar e que depende de conhecimento advindo da ciência política, da economia, da
administração, da sociologia, do direito, da história e da cibernética. Acrescente-se aí o forte
componente aplicado do aprendizado."
"Uma agenda de longo prazo para reformar a gestão pública brasileira depende, como em qualquer
outro campo de políticas públicas, não só de ideias e análises. Acima de tudo, é preciso constituir
coalizões. Atores estratégicos precisam ser convencidos da centralidade dessa questão, como já o foram
em outros tópicos."
Fernando Abrúcio
5
SUMÁRIO
6
LISTA DE SIGLAS
7
DPDT: Departamento de Pesquisa e Desenvolvimento Tecnológico
EAD: Ensino à distância
EB/MD: Exército Brasileiro / Ministério da Defesa
EED: Empresa Estratégica de Defesa
EGTI: Estratégia Geral de Tecnologia da Informação
EGTIC: Estratégia Geral de Tecnologia da Informação e Comunicações
Embrapa: Empresa Brasileira de Pesquisa Agropecuária
EnaDCiber: Escola Nacional de Defesa Cibernética
ENAP: Escola Nacional de Administração Pública
END: Estratégia Nacional de Defesa
ETIR: Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais
GSI/PR: Gabinete de Segurança Institucional da Presidência da República
GTI: Grupo de Trabalho Interministerial
ICP-Brasil: Infraestrutura de Chaves Públicas Brasileira
ICT: Instituição de Ciência e Tecnologia
IEC: International Electrotechnical Commission, Comissão Eletrotécnica Internacional
IN: Instrução Normativa
INSS: Instituto Nacional do Seguro Social
ISO: International Organization for Standardization, Organização Internacional de
Normalização
LAI: Lei de Acesso à Informação
MB/MD: Marinha do Brasil / Ministério da Defesa
MC: Ministério das Comunicações
MCTI: Ministério da Ciência, Tecnologia e Inovação
MD: Ministério da Defesa
MDIC: Ministério do Desenvolvimento Indústria e Comércio Exterior
MEC: Ministério da Educação e Cultura
MJ: Ministério da Justiça
MP: Ministério do Planejamento, Orçamento e Gestão
MPS: Ministério da Previdência Social
8
MRE: Ministério das Relações Exteriores
MS: Ministério da Saúde
MTur: Ministério do Turismo
NBR: Normas Brasileiras de Referência
NC: Norma Complementar
NSC: Núcleo de Segurança e Credenciamento
OE: Objetivos Estratégicos
OEA: Organização dos Estados Americanos
OGS: Órgão Governante Superior
PDCA: Plan, Do, Check & Act.
PDTI: Plano Diretor de Tecnologia da Informação
Petrobrás: Petróleo Brasileiro S.A.
PNAD: Pesquisa Nacional por Amostra de Domicílios
POSIC: Política de Segurança da Informação e Comunicações
PR: Presidência da República
Radiobrás: Empresa Brasileira de Radiodifusão
RENASIC: Rede Nacional de Excelência em Segurança da Informação e Criptografia
RNP: Rede Nacional de Ensino e Pesquisa
SAE/PR: Secretaria de Assuntos Estratégicos da Presidência da República
SECOM/PR: Secretaria de Comunicações da Presidência da República
SegCiber: Segurança Cibernética
SERPRO: Serviço Federal de Processamento de Dados
SG/PR: Secretaria-Geral da Presidência da República
SIC: Segurança da Informação e Comunicações
SICGov: Congresso de Segurança da Informação e Comunicações
SISP: Sistema de Administração dos Recursos de Tecnologia da Informação do Poder
Executivo federal
SPOA: Subsecretaria de Planejamento, Orçamento e Administração
SRF: Secretaria da Receita Federal
SRP: Secretaria da Receita Previdenciária
9
TCU: Tribunal de Contas da União
10
APRESENTAÇÃO
11
consultado, contribuindo substantiva e efetivamente com esta publicação, ao que
desde já agradeço a colaboração.
Sabemos que ainda há muito a ser alcançado e que estamos passo a passo
criando as condições necessárias para maior efetividade, eficácia e eficiência das ações
de SIC e de SegCiber, principalmente no que diz respeito ao entendimento das novas
exigências para a manutenção e preservação tanto das infraestruturas críticas do País,
quanto dos direitos individuais, em especial da privacidade, protegendo e assegurando
os interesses da sociedade e do Estado.
Recomendo, portanto, a leitura e a aderência aos objetivos estratégicos e
etas desta Est at gia de “egu a ça da I fo ação e Co u i aç es e de “egu a ça
Cibernética da Administração Pública Federal 2015 – , e são . a di eção do
fortalecimento e da excelência da segurança da informação e comunicações e da
segurança cibernética no Governo.
Considero esta publicação um importante incremento ao arcabouço de
documentos que objetivam contribuir com a segurança institucional e a soberania
nacional, e convido-os a contribuir com propostas e sugestões para a evolução
contínua da mesma, visando construir, em futuro próximo, de forma colaborativa, a
Políti a Na io al de “egu a ça da I fo ação e Co u i aç es e de “egu a ça
Ci e ti a .
Po fi , ito o li o “o ho G a de o ual apresenta o relato da jornalista
Cristiane Correa sobre a trajetória exitosa de três sócios, Jorge Paulo Lemann, Marcel
Herrmann Telles e Carlos Alberto Sicupira, para o sucesso alcançado em seus
empreendimentos, e aproveito para finalizar ressaltando a segunda lição do decálogo
das principais lições aprendidas:
“U“TENTE O IMPUL“O COM UM GRANDE “ONHO: Ge te oa p e isa te oisas g a des pa a
fazer, senão leva sua energia criativa para outro lugar. Assim, os três construíram um
mecanismo que tem duas premissas básicas: primeiro, recrute as melhores pessoas e depois dê
a elas coisas grandes para fazer. Em seguida, atraia mais gente boa e proponha a próxima coisa
importante a fazer. Repita o processo indefinidamente. Foi assim que eles mantiveram o ímpeto
ao longo do tempo. Eles sempre vibraram com a ideia de metas grandes, arriscadas e
audaciosas, e desenvolveram uma cultura para alcançá-las. Ao observá-los, aprendi que, para
conservar o ímpeto e, portanto, preservar gente boa, vale a pena correr os riscos inerentes à
busca pelas grandes metas. É como uma ótima equipe de alpinismo. Por um lado, existe o risco
de subir uma montanha alta, depois uma montanha ainda mais alta, e depois a seguinte. Por
outro lado, se você não tiver novas montanhas altas para escalar, deixará de se desenvolver e
crescer, e perderá seus melhores alpinistas. Grandes alpinistas necessitam de grandes
o ta has pa a es ala , se p e e i defi ida e te .
12
CONTEXTUALIZAÇÃO
Este item apresenta, de forma geral e sem a pretensão de ser exaustivo, visão
sobre avanços, mudanças, tendências e desafios da Segurança da Informação e
Comunicações e da Segurança Cibernética, de 2000 até os dias de hoje, principalmente
na trilha que vem sendo desenvolvida no país.
1
http://www.brasil.gov.br/infraestrutura/2013/09/percentual-de-internautas-cresce-nas-regioes-norte-e-nordeste-em-
2012/
2
http://www.e-commerce.org.br/stats.php
3
Idem.
13
crescente e bastante substantivo de acesso à Internet e das redes sociais; d) Avanços
das tecnologias de informação e comunicação (TIC); e) Aumento das ameaças e das
vulnerabilidades de segurança cibernética; e, f) Ambientes complexos, com múltiplos
atores, diversidade de i teresses, e e co sta tes e rápidas uda ças”
A SIC e a SegCiber, portanto, vêm se caracterizando cada vez mais como função
estratégica de Estado, sendo essenciais à manutenção e preservação tanto das
infraestruturas críticas de um país, tais como Energia, Transporte, Telecomunicações,
Águas, Finanças, a própria Informação, entre outras, quanto dos direitos individuais,
em especial da privacidade, e da soberania.
14
Os pilares consagrados da SIC – disponibilidade, integridade, confidencialidade
e autenticidade – estão sujeitos a novas e crescentes vulnerabilidades e ameaças.
4
http://www.un.org/en/ga/search/view_doc.asp?symbol=A/RES/68/167
15
O cenário de realização de grandes eventos no Brasil (2013 a 2016) ressalta tais
preocupações e serve de oportunidade para a conformação de uma situação benéfica,
alavancando os compromissos com a SIC e com a SegCiber pactuados e reforçados na
direção de que haja capacidade efetiva do governo de catalisar e estimular ações em
prol dos diferentes tópicos que perpassam e sustentam tais áreas de atuação.
16
vulnerabilidades e consequente vazamento de informações, causando prejuízos ao
Estado, com reflexos negativos para a sociedade.
Uma vez que SIC e SegCiber são consideradas como questões nacionais,
horizontais e estratégicas, que afetam todos os níveis da sociedade, uma estratégia de
SIC e de SegCiber nacional representa importante ferramenta para melhorar
sobremaneira a segurança e a resiliência das infraestruturas críticas e dos serviços
nacionais.
17
Relações Exteriores e Defesa Nacional (CREDEN), do Conselho de Governo, por
intermédio do Gabinete de Segurança Institucional da Presidência da República
(GSI/PR), que exerce as funções de Secretaria Executiva do citado Conselho e de
Presidência daquela Câmara.
O GSI/PR, diante de tal desafio, instituiu em 2006, para trato das questões
afetas à SIC e à SegCiber, o Departamento de Segurança da Informação e
Comunicações (DSIC), com abrangência de atuação na APF, e três áreas finalísticas
para o cumprimento de sua missão, a saber: Gestão de SIC, Centro de Tratamento de
Incidentes de Redes da Administração Pública Federal - CTIR Gov, e Credenciamento
de Segurança.
18
o objetivo de promover e regular o tratamento da informação classificada em qualquer
grau de sigilo. O NSC busca assegurar a manutenção da cadeia de confiança entre os
entes, públicos e privados, que tratam informação classificada em qualquer grau de
sigilo do Governo Federal, inclusive com organismos internacionais.
19
MARCOS DO GOVERNO BRASILEIRO EM SIC E
SEGCIBER
PERÍODO: 2000 A 2015
Em 2000:
Em 2001:
Em 2002:
Em 2003:
20
coordenar as atividades de inteligência federal e de segurança da informação do
governo, entre outras.
Decreto nº 4.801, de 06 de agosto de 2003, cria a Câmara de Relações
Exteriores e Defesa Nacional (CREDEN) do Conselho de Governo, com a finalidade de
formular políticas públicas e diretrizes de matérias relacionadas com a área das
relações exteriores e defesa nacional do Governo Federal, aprovar, promover a
articulação e acompanhar a implementação dos programas e ações estabelecidos, no
âmbito de ações cujo escopo ultrapasse a competência de um único Ministério.
Integravam à época os seguintes Ministérios: GSI/PR (que a preside); Casa Civil/PR;
Justiça; Defesa; Relações Exteriores; Planejamento, Orçamento e Gestão; Meio
Ambiente e Ciência e Tecnologia, sendo convidados a participar das reuniões, em
caráter permanente, os Comandantes da Marinha, do Exército, da Aeronáutica e o
Chefe do Estado-Maior Conjunto das Forças Armadas (composição atualizada em 2009
e 2013).
Decreto nº 4.829, de 03 de setembro de 2003, que dispõe sobre a criação do
Comitê Gestor da Internet no Brasil - CGI.br, sobre o modelo de governança da
Internet no Brasil, e estabelece a coordenação do mesmo a ser exercida pelo, então,
Ministério da Ciência e Tecnologia – MCT, contando com governança multissetorial, ou
seja, participação de representantes do governo, da academia, do setor empresarial e
do terceiro setor.
Em 2004:
Em 2005:
21
Em 2006:
Em 2007:
22
Em 2008:
23
Portaria GSI/PR nº 31, de 06 de outubro de 2008, institui a Rede Nacional de
Excelência em Segurança da Informação e Criptografia – RENASIC.
Em 2009:
24
Chefe do Estado-Maior Conjunto das Forças Armadas (composição atualizada em
2013).
Portaria CREDEN nº 45, de 8 de setembro de 2009, institui o Grupo Técnico de
Segurança Cibernética, com o objetivo de propor diretrizes e estratégias para a
Segurança Cibernética, no âmbito da Administração Pública Federal. Órgãos
integrantes: GSI/PR; MRE; MJ; MD; MD/EB; MD/MB; e MD/COMAER.
A Diretriz Ministerial nº 14/2009 atribuiu ao Exército Brasileiro institucionalizar
o Núcleo do Centro de Defesa Cibernética do Exército (Nu CDCiber).
Em 2010:
25
Foi ativado o Núcleo do Centro de Defesa Cibernética, tendo como principal
atribuição coordenar as atividades do setor cibernético no Exército.
Em 22 de novembro, o Brasil assina com a Itália, em Roma, o Acordo de Troca e
Proteção Mútua de Informações Classificadas.
Em 24 de novembro, o Brasil assina com Israel, em Tel Aviv, o Acordo de Troca
e Proteção Mútua de Informações Classificadas.
Em 2011:
Em 2012:
26
Reveja a Norma Complementar 4/IN01/DSIC/GSIPR, uma vez que
aborda o tema gestão de riscos considerando apenas ativo de informação e não ativo
em sentido amplo, como o faz a NBR ISO/IEC 27.002 no item 7.1.1.
27
Lei nº 12.737, de 30 de novembro de 2012, a qual dispõe sobre a
tipificação criminal de delitos informáticos.
Lei nº 12.735, de 30 de novembro de 2012, a qual tipifica as condutas
realizadas mediante uso de sistema eletrônico, digital ou semelhante, que sejam
praticadas contra sistemas informatizados e similares.
Em 2013:
28
MRE; MEC; MDIC; MP; MCTI; MC; GSI/PR; CGI.br; ANATEL; SERPRO; DATAPREV; e
TELEBRÁS.
IN GSI/PR 02, de 5 de fevereiro de 2013, regulando o Credenciamento de
Segurança e o tratamento de informação classificada em grau de sigilo.
IN GSI/PR 03, de 6 de março de 2013, estabelecendo os parâmetros e padrões
mínimos dos recursos criptográficos baseados em algoritmos de Estado.
NC 01/IN02/DSIC/GSI/PR, de 27 de junho de 2013, inaugura os trabalhos de
Credenciamento sob a égide das novas regras para o tratamento das informações
classificadas em grau de sigilo.
Decreto nº 8.096, de 04 de setembro de 2013, atualiza a composição da
CREDEN, e a Câmara passa a contar com os seguintes Ministérios: GSI/PR (que a
preside); Casa Civil/PR; Justiça; Defesa; Relações Exteriores; Planejamento, Orçamento
e Gestão; Meio Ambiente; Ciência e Tecnologia; Fazenda; SAE/PR; Integração Nacional;
Minas e Energia; e Transportes, sendo convidados a participar das reuniões, em
caráter permanente, os Comandantes da Marinha, do Exército, da Aeronáutica e o
Chefe do Estado-Maior Conjunto das Forças Armadas.
Decreto Legislativo nº 3703, de 12 de julho de , atualiza a Est atégia
Na io al de Defesa e ap o a o Li o B a o de Defesa Na io al . E t e as p e issas
sobre o setor cibernético, cita que a proteção do espaço cibernético abrange um
grande número de áreas, como: capacitação, inteligência, pesquisa científica, doutrina,
preparo e emprego operacional; e gestão de pessoal.
Decreto nº 8.135, de 04 de novembro de 2013, dispõe sobre as comunicações
de dados da administração pública federal direta, autárquica e fundacional, e sobre a
dispensa de licitação nas contratações que possam comprometer a segurança
nacional.
Em 2014:
29
NC 19/IN01/DSIC/GSI/PR estabelece Padrões Mínimos de Segurança da
Informação e Comunicações para os Sistemas Estruturantes da Administração Pública
Federal (APF), direta e indireta;
NC 20/IN01/DSIC/GSI/PR estabelece as Diretrizes de Segurança da
Informação e Comunicações para Instituição do Processo de Tratamento da
Informação nos órgãos e entidades da Administração Pública Federal (APF), direta e
indireta; e
NC 21/IN01/DSIC/GSI/PR estabelece as Diretrizes para o Registro de Eventos,
Coleta e Preservação de Evidências de Incidentes de Segurança em Redes nos órgãos e
entidades da Administração Pública Federal, direta e indireta. No mesmo ano, essa NC
recebeu a primeira revisão.
30
Foi publicado o Acórdão 3.117/2014-TCU-Plenário de 12 de novembro de 2014,
referente ao processo do TCU nº 003.732/2014-2. Trata-se de relatório de
levantamento realizado com o objetivo de acompanhar a situação da Governança de
Tecnologia da Informação na Administração Pública Federal, realizado a cada dois anos
pelo TCU. Pontos de interesses da segurança da informação:
31
Cibernética – EnaDCiber, na Estrutura Regimental do Comando do Exército, com
ênfase na implantação e a consolidação do Sistema de Homologação e Certificação de
Produtos de Defesa Cibernética, o apoio à pesquisa e ao desenvolvimento de produtos
de defesa cibernética, bem como a criação do Observatório de Defesa Cibernética.
Em 14 de abril o Brasil assina com a Suécia, em Estocolmo, o Acordo de Troca e
Proteção Mútua de Informações Classificadas.
Durante todo o ano, na qualidade de Autoridade Nacional de Segurança (ANS),
exercida GSI/PR, manteve estreita relação com o Ministério das Relações Exteriores na
articulação, tanto de ajustes nos Acordos de Troca e Proteção Mútua de Informações
Classificadas assinados com seis países, visando alinhamento à LAI, quanto de novos
acordos demandados por outros 14 países.
Portaria Interministerial MP MD MC nº 141, de 02 de maio de 2014,
regulamenta o Decreto nº 8.135/2013, dispõe para toda a administração pública
federal o dever de realizar as suas comunicações, armazenamentos e recuperações de
dados através de redes de telecomunicações e serviços de tecnologia de informação
fornecidos por órgãos ou entidades da própria administração pública federal (SERPRO,
TELEBRÁS, DATAPREV, entre outros), com exceção de serviço móvel pessoal e serviço
telefônico fixo comutado, garantindo-se a segurança da informação e comunicações
conforme normativos do GSI/PR. O SERPRO inicia implantação do serviço de
mensageria Expresso V3 na APF.
Pu li ada a Dout i a Milita de Defesa Ci e ti a MD -M-07, 1ª
Edição/ , po eio da Po ta ia o ativa nº 3.010/MD, de 18 de novembro de
2014.
Relatório Final da CPI da Espionagem, elaborado pela Comissão Parlamentar de
Inquérito destinada a investigar a denúncia de existência de um sistema de
espionagem, estruturado pelo governo dos Estados Unidos, com o objetivo de
monitorar e-mails, ligações telefônicas, dados digitais, além de outras formas de captar
informações privilegiadas ou protegidas pela Constituição Federal aponta para
diversos aspectos essenciais e recomendações à segurança da informação e segurança
cibernética, entre eles:
32
coordenação com os demais órgãos atuantes nos mais diversos temas que englobam a
segurança cibernética.
33
FINALIDADE E APLICAÇÃO
34
METODOLOGIA
35
Para a elaboração da minuta da Estratégia foi nomeado um Grupo Técnico
formado por servidores do Departamento de Segurança da Informação e
Comunicações do Gabinete de Segurança Institucional da Presidência da República –
GSI/PR, órgão com a atribuição de planejar e coordenar a segurança da informação no
âmbito da APF, conforme prevê a Lei nº 10.683/2003 e o regramento infralegal.
A iniciativa apoiou-se ainda na jurisprudência do Tribunal de Contas da União,
em especial no Acórdão 1.145/2011 do Plenário, especificando que o GSI/PR, dentre
outros, é um Órgão Governante Superior (OGS) o qual tem a responsabilidade de
normatizar e fiscalizar os aspectos da Segurança da Informação e Comunicações, em
seus respectivos segmentos da Administração Pública Federal; e no Acórdão
3.051/2014 do Plenário, que concluiu competir ao GSI, no âmbito do Poder Executivo,
o papel de promover o desenvolvimento de uma estratégia para melhoria da
segurança da informação [...], ainda que o faça em articulação com outros órgãos no
âmbito das respectivas competências .
Objetivando a articulação e a colaboração dos demais órgãos e entidades da
APF, o GSI/PR consultou o Comitê Gestor de Segurança da Informação (CGSI) –
instância de assessoramento criada por meio do Decreto nº 3.505/2000 no âmbito do
Conselho de Defesa Nacional (CDN), cuja coordenação cabe ao GSI/PR e da qual fazem
parte dezessete órgãos da APF –, como forma de buscar o alinhamento com os
diversos atores, a efetividade dos objetivos propostos e o aprimoramento das
diretrizes da Estratégia.
36
REFERENCIAL ESTRATÉGICO
MISSÃO DA ESTRATÉGIA
Fortalecer a política e o planejamento de segurança da informação e
comunicações e de segurança cibernética na Administração Pública Federal, visando
assegurar e defender os interesses do Estado e da sociedade para a preservação da
soberania nacional.
VALORES DA ESTRATÉGIA
Ética: Ter como padrão de conduta ações que busquem a verdade dos fatos,
amparadas em honestidade, moralidade, respeito, coerência e probidade na
administração pública.
37
competente, responsável, imparcial, coerente e objetiva e estar comprometido com
a missão institucional, com a capacidade de influenciar e mobilizar os diversos
órgãos e entidades da APF para a consecução dos objetivos de SIC e de SegCiber, em
prol da sociedade.
Apoio às Políticas Públicas: Priorizar as ações, programas e atividades
desenvolvidas pelo Estado, no âmbito da SIC e da SegCiber, que correspondam a
direitos assegurados constitucionalmente ou que se afirmam pelo reconhecimento
das demandas da sociedade.
38
PRINCÍPIOS NORTEADORES DA ESTRATÉGIA
39
MAPA ESTRATÉGICO
40
MAPA ESTRATÉGICO
41
OBJETIVOS ESTRATÉGICOS
42
OE-I INSTITUCIONALIZAR O TEMA DE SIC E DE SEGCIBER NO PLANEJAMENTO E
ORÇAMENTO FEDERAL.
43
OE-II GARANTIR CONTINUAMENTE O APRIMORAMENTO DO QUADRO DE
PESSOAL DA APF EM SIC E SEGCIBER, DE FORMA QUALITATIVA E QUANTITATIVA.
44
OE-III GARANTIR CONTINUAMENTE A PESQUISA, O DESENVOLVIMENTO E A
INOVAÇÃO EM SIC E SEGCIBER NA APF.
Face aos desafios atuais em nível global, bem como diante das ameaças e
oportunidades já contextualizados anteriormente, o fortalecimento e a priorização das
áreas de SIC e de SegCiber, na ciência; na pesquisa básica e aplicada; no
desenvolvimento de tecnologias e de metodologias; e na inovação devem ser
permanentemente articulados com atores chave de fomento do Governo Federal, em
especial com o Ministério da Ciência, Tecnologia e Inovação (MCTI), visando à geração
de conhecimentos e à agregação de valor em produtos, serviços e tecnologias de tais
áreas, e respectivos setores produtivos.
Outro fator que demanda esforços de P,D&I em SIC e SegCiber no âmbito da
APF diz respeito ao imposto pelo Decreto nº 8.135/2013, regulamentado pela Portaria
Interministerial nº 141/2014, referente às soluções de comunicações de dados. Para
tanto, a adequação dos órgãos e entidades da APF à legislação requer investimentos
adequados e recorrentes em P,D&I.
A pesquisa, desenvolvimento e inovação nas áreas de SIC e SegCiber são pontos
basilares para que o Estado brasileiro seja reconhecido mundialmente, como ator de
destaque no cenário internacional, sendo respeitado por resultados tecnológicos
relevantes, de forma a atender a necessidade de assegurar a soberania da Nação e,
associado a isso, a privacidade de seus cidadãos no espaço cibernético.
Nesse sentido, são fundamentais a pesquisa e o desenvolvimento de soluções
voltadas para a SIC e a SegCiber, baseadas em hardware e algoritmos criptográficos
proprietários de Estado, com o objetivo de garantir a confidencialidade, integridade e
autenticidade das comunicações estratégicas entre órgãos que integrem a APF, a
exemplo da atuação da ABIN, por meio do Centro de Pesquisas e Desenvolvimento
para Segurança das Comunicações (CEPESC).
A exitosa iniciativa da Rede Nacional de Segurança da Informação e Criptografia
– RENASIC não pode deixar de ser exemplificada. Criada em 2008 no GSI/PR e desde
2011 parte integrante do CDCiber/EB/MD, apresenta entre seus objetivos integrar
pesquisadores de todo o país, fomentando o intercâmbio de conhecimentos e o
desenvolvimento de novos projetos em segurança da informação e criptografia.
É essencial avançar na articulação para o fortalecimento e aceleração da
implantação do ecossistema digital (SIC+SegCiber+Empresas+ICT) com a finalidade de
apoiar o desenvolvimento de tecnologias de SIC e de SegCiber, a exemplo de soluções
de reconhecimento de artefatos maliciosos e outras ferramentas cibernéticas,
alavancando a criação do mesmo e promovendo maior sinergia com o ecossistema da
defesa cibernética. Para tanto, faz-se necessário aprimorar os mecanismos de fomento
e de financiamento que favoreçam parcerias entre o setor privado e as universidades e
45
institutos de pesquisa, para o desenvolvimento e a produção de soluções de SIC e de
SegCiber.
Configura-se igualmente relevante a padronização do ambiente de SIC e de
SegCiber no Governo Federal, por meio da criação de programas específicos que
venham tanto a harmonizar especificações de bens e serviços, quanto a racionalizar e
otimizar processos de compras governamentais.
Esse Objetivo Estratégico salienta o valor adicional de reforçar o quantitativo de
empresas atuantes em SIC e SegCiber, na promoção de soluções e de tecnologias
críticas para o Estado brasileiro, como Empresas Estratégicas de Defesa – EED, nos
termos da Lei nº 12.598/2012, incentivando o desenvolvimento de soluções nacionais.
Para a implantação do arcabouço normativo de SIC e de SegCiber na APF, há
que se buscar atualização permanente, seja de modelos de gestão, de soluções
tecnológicas, de padrões, entre outros, acompanhando a dinâmica dos avanços das TIC
e da convergência tecnológica.
46
OE-IV INSTITUIR MODELO DE GOVERNANÇA SISTÊMICA DE SIC E DE SEGCIBER NA
APF, COM COORDENAÇÃO EXECUTIVA, ACOMPANHAMENTO E AVALIAÇÃO DO
ÓRGÃO CENTRAL (GSI/PR)
47
Figura 2 – Competências do GSI/PR em SIC e SegCiber
48
OE-V ALINHAR O PLANEJAMENTO DE SIC E DE SEGCIBER AO PLANEJAMENTO
ESTRATÉGICO DOS ÓRGÃOS E ENTIDADES DA APF.
49
OE-VI AMPLIAR E FORTALECER AÇÕES COLABORATIVAS EM SIC E SEGCIBER COM
A ACADEMIA, SETORES PÚBLICO, PRIVADO E TERCEIRO SETOR, NO PAÍS E NO
EXTERIOR.
50
OE-VII ELEVAR O NÍVEL DE MATURIDADE DE SIC E DE SEGCIBER NA APF.
51
OE-VIII REFORÇAR A SIC E A SEGCIBER COMO ALTA PRIORIDADE NA AGENDA DE
GOVERNO.
52
OE-IX VALORIZAR E AMPLIAR AÇÕES QUE FORTALEÇAM A SEGURANÇA DAS
INFRAESTRUTURAS CRÍTICAS DA INFORMAÇÃO.
53
OE-X PROMOVER MECANISMOS DE CONSCIENTIZAÇÃO DA SOCIEDADE SOBRE SIC
E SEGCIBER.
54
METAS DA ESTRATÉGIA
Em 2015
M-II: Atingir no mínimo 25% da APF direta com autodiagnóstico de SIC e de SegCiber
acompanhados e avaliados pelo órgão central (GSI/PR).
Responsável: órgão central (GSI/PR), com assessoramento do CGSI.
55
Responsáveis: órgão central (GSI/PR), com o assessoramento do CGSI.
Em 2016
M-XI: Atingir no mínimo 50% da APF direta com autodiagnóstico de SIC e de SegCiber
acompanhados e avaliados pelo órgão central (GSI/PR).
Responsável: órgão central (GSI/PR), com assessoramento do CGSI.
56
M-XIV: Articular a inserção das áreas de SIC e de SegCiber no Programa Nacional de
Gestão Pública e Desburocratização (GesPública), coordenado pelo MP, no item
Informação e Conhecimento .
Responsáveis: órgão central (GSI/PR), com assessoramento do CGSI e colaboração do
órgão competente.
Em 2017
57
M-XXI: Atingir no mínimo 75% da APF direta com autodiagnóstico de SIC e de
SegCiber acompanhados e avaliados pelo órgão central (GSI/PR).
Responsável: órgão central (GSI/PR), com assessoramento do CGSI.
Em 2018
58
M-XXIX: Formalizar parceria do órgão central do sistema de SIC e de SegCiber da
APF (GSI/PR) com, no mínimo, mais duas Escolas de Governo, para inserção de cursos
e/ou de disciplinas de SIC e de SegCiber, visando a formação continuada dos agentes
públicos nestas áreas.
Responsáveis: órgão central (GSI/PR), com o assessoramento do CGSI.
59
M-XXXVII: Avaliar e revisar a Estratégia de SIC e de SegCiber da APF 2015-2018 .
Responsáveis: órgão central (GSI/PR), com assessoramento do CGSI e colaboração dos
atores do sistema de SIC e de SegCiber da APF.
60
DISPOSIÇÕES FINAIS
61
REFERÊNCIAS
62
BRASIL. Decreto nº 5.563, de 11 de outubro de 2005. Regulamenta a Lei nº 10.973, de
2 de dezembro de 2004, que dispõe sobre incentivos à inovação e à pesquisa científica
e tecnológica no ambiente produtivo, e dá outras providências. Casa Civil, Subchefia
para Assuntos Jurídicos, 2005.
BRASIL. Decreto nº 6.605, de 14 de outubro de 2008. Dispõe sobre o Comitê Gestor da
Infra-Estrutura de Chaves Públicas Brasileira - CG ICP-Brasil, sua Secretaria-Executiva e
sua Comissão Técnica Executiva - COTEC. Casa Civil, Subchefia para Assuntos Jurídicos,
2008.
BRASIL. Decreto nº 6.703 de 18 de dezembro de 2008. Aprova a Estratégia Nacional de
Defesa, e dá outras providências. Casa Civil, Subchefia para Assuntos Jurídicos, 2008.
BRASIL. Decreto nº 7.009, de 12 de novembro de 2009. Dá nova redação aos arts. 1º,
2º e 3º do Decreto no 4.801, de 6 de agosto de 2003, que cria a Câmara de Relações
Exteriores e Defesa Nacional, do Conselho de Governo. Casa Civil, Subchefia para
Assuntos Jurídicos, 2009.
BRASIL. Decreto nº 7.579, de 11 de outubro de 2011. Dispõe sobre o Sistema de
Administração dos Recursos de Tecnologia da Informação - SISP, do Poder Executivo
federal. Casa Civil, Subchefia para Assuntos Jurídicos, 2011.
BRASIL. Decreto nº 7.724 de 16 de maio de 2012. Regulamenta a Lei no 12.527, de 18
de novembro de 2011. Casa Civil, Subchefia para Assuntos Jurídicos, 2012.
BRASIL. Decreto nº 7.845 de 14 de novembro de 2012. Regulamenta procedimentos
para credenciamento de segurança e tratamento de informação classificada em
qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento. Casa
Civil, Subchefia para Assuntos Jurídicos, 2012.
BRASIL. Decreto nº 8.096, de 4 de setembro de 2013. Altera o Decreto nº 4.801, de 6
de agosto de 2003, que cria a Câmara de Relações Exteriores e Defesa Nacional, do
Conselho de Governo. Casa Civil, Subchefia para Assuntos Jurídicos, 2013.
BRASIL. Decreto nº 8.135 de 4 de novembro de 2013. Dispõe sobre as comunicações
de dados da administração pública federal direta, autárquica e fundacional, e sobre a
dispensa de licitação nas contratações que possam comprometer a segurança
nacional. Casa Civil, Subchefia para Assuntos Jurídicos, 2013.
BRASIL. Decreto nº 8.414, de 26 de fevereiro de 2015. Institui o Programa Bem Mais
Simples Brasil e cria o Conselho Deliberativo e o Comitê Gestor do Programa. Casa
Civil, Subchefia para Assuntos Jurídicos, 2015.
BRASIL. Decreto-lei nº 200, de 25 de fevereiro de 1967. Dispõe sôbre a organização da
Administração Federal, estabelece diretrizes para a Reforma Administrativa e dá
outras providências. Casa Civil, Subchefia para Assuntos Jurídicos, 2015.
BRASIL. Lei nº 6.880, de 30 de dezembro de 1980. Dispõe sobre o Estatuto dos
Militares. Casa Civil, Subchefia para Assuntos Jurídicos, 1980.
63
BRASIL. Lei nº 10.683, de 28 de maio de 2003. Dispõe sobre a organização da
Presidência da República e dos Ministérios, e dá outras providências. Casa Civil,
Subchefia para Assuntos Jurídicos, 2003.
BRASIL. Lei nº 10.973, de 2 de dezembro de 2004. Dispõe sobre incentivos à inovação
e à pesquisa científica e tecnológica no ambiente produtivo e dá outras providências.
Casa Civil, Subchefia para Assuntos Jurídicos, 2004.
BRASIL. Lei nº 11.079, de 30 de dezembro de 2004. Institui normas gerais para
licitação e contratação de parceria público privada no âmbito da administração
pública. Casa Civil, Subchefia para Assuntos Jurídicos, 2004.
BRASIL. Lei nº 12.527 de 18 de novembro de 2011. Regula o acesso a informações.
Casa Civil, Subchefia para Assuntos Jurídicos, 2011.
BRASIL. Lei nº 12.593 de 18 de janeiro de 2012. Institui o Plano Plurianual da União
para o período de 2012 a 2015. Casa Civil, Subchefia para Assuntos Jurídicos, 2012.
BRASIL. Lei nº 12.598, de 21 de março de 2012. Estabelece normas especiais para as
compras, as contratações e o desenvolvimento de produtos e de sistemas de defesa;
dispõe sobre regras de incentivo à área estratégica de defesa; altera a Lei nº 12.249,
de 11 de junho de 2010; e dá outras providências. Casa Civil, Subchefia para Assuntos
Jurídicos, 2012.
BRASIL. Lei nº 12.735, de 30 de novembro de 2012. Altera o Decreto-Lei nº 2.848, de 7
de dezembro de 1940 - Código Penal, o Decreto-Lei no 1.001, de 21 de outubro de
1969 - Código Penal Militar, e a Lei nº 7.716, de 5 de janeiro de 1989, para tipificar
condutas realizadas mediante uso de sistema eletrônico, digital ou similares, que
sejam praticadas contra sistemas informatizados e similares; e dá outras providências.
Casa Civil, Subchefia para Assuntos Jurídicos, 2012.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos
e deveres para o uso da Internet no Brasil. Casa Civil, Subchefia para Assuntos
Jurídicos, 2014.
BRASIL. Lei nº 8.183 de 11 de abril de 1991. Dispõe sobre a organização e o
funcionamento do Conselho de Defesa Nacional e dá outras providências. Casa Civil,
Subchefia para Assuntos Jurídicos, 1991.
BRASIL. Medida Provisória nº 2.200-2, de 24 de agosto de 2001. Institui a Infra-
Estrutura de Chaves Públicas Brasileira - ICP-Brasil, transforma o Instituto Nacional de
Tecnologia da Informação em autarquia, e dá outras providências. Casa Civil, Subchefia
para Assuntos Jurídicos, 2001.
BRASIL. Ministério da Defesa. Exército Brasileiro. Diretriz Ministerial nº 14/2009, de 9
de novembro de 2009. Atribuiu ao Exército Brasileiro a responsabilidade pela
coordenação e integração do Setor Cibernético do Ministério da Defesa. Brasília, DF,
MD/EB, 2009.
64
BRASIL. Ministério da Defesa. Portaria Normativa nº 2.777/MD, de 27 de outubro de
2014. Dispõe sobre a diretriz de implantação de medidas visando à potencialização da
Defesa Cibernética Nacional e dá outras providências. Diário Oficial da República
Federativa do Brasil, Brasília, DF, 28 out. 2014. Disponível em:
<http://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?jornal=1&pagina=7&data=
28/10/2014>. Acesso em Março de 2015.
BRASIL. Ministério da Defesa. Portaria Normativa nº 3.389/MD, de 21 de dezembro
de 2012. Dispõe sobre a Política Cibernética de Defesa. Diário Oficial da República
Federativa do Brasil, Brasília, DF, 27 dez. 2014. Disponível em:
<http://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?jornal=1&pagina=11&data
=27/12/2012>. Acesso em Março de 2015.
BRASIL. Ministério do Planejamento, Orçamento e Gestão, Sistema de Administração
de Recursos de Tecnologia da Informação. Estratégia Geral de Tecnologia da
Informação e Comunicações – EGTIC 2014-2015, Brasília, DF, MP/SLTI, 2014.
BRASIL. Ministério do Planejamento, Orçamento e Gestão. Instituto Brasileiro de
Geografia e Estatística. Pesquisa Nacional por Amostra de Domicílios – PNAD 2012.
Rio de Janeiro, MP/IBGE, v.32, 2012.
BRASIL. Ministério do Planejamento, Orçamento e Gestão. Portaria Interministerial nº
141, de 2 de maio de 2014. Diário Oficial da República Federativa do Brasil, Brasília,
DF, 5 mai. 2014. Disponível em:
<http://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?jornal=1&pagina=82&data
=05/05/2014>. Acesso em Março de 2015.
BRASIL. Ministério do Planejamento, Orçamento e Gestão. Secretaria de Gestão.
Melhoria da gestão pública por meio da definição de um guia referencial para
medição do desempenho da gestão, e controle para o gerenciamento dos
indicadores de eficiência, eficácia e de resultados do programa nacional de gestão
pública e desburocratização - Produto 4: Guia Referencial para Medição de
Desempenho e Manual para Construção de Indicadores. Brasília, DF, MP/SEGES, 2009.
BRASIL. Ministério do Planejamento, Orçamento e Gestão. Secretaria de Logística e
Tecnologia da Informação. Planejamento estratégico 2011-2014. Brasília, DF, MP/SLTI,
2010.
BRASIL. Ministério do Planejamento, Orçamento e Gestão. Secretaria de Logística e
Tecnologia da Informação. Planejamento estratégico 2011-2015. 4ª ed., 5ª Versão –
Brasília, DF, MP/SLTI, 2014.
BRASIL. Ministério do Planejamento, Orçamento e Gestão. Secretaria de Planejamento
e Investimentos Estratégicos. Plano Mais Brasil – PPA 2012 – 2015. Brasília, DF,
MP/SPI, 2012.
65
BRASIL. Ministério do Planejamento, Orçamento e Gestão. Sistema de Administração
de Recursos de Tecnologia da Informação. Estratégia Geral de Tecnologia da
Informação do SISP 2013-2015: versão 1.0. Brasília, DF, MP/SLTI, 2012.
BRASIL. Ministério do Planejamento, Orçamento e Gestão. Sistema de Administração
de Recursos de Informática e Informação. Estratégia Geral de Tecnologia da
Informação 2008. Brasília, DF, MP/SLTI, 2008.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Livro verde : segurança cibernética no
Brasil, organização Claudia Canongia e Raphael Mandarino Junior. Brasília, DF,
GSIPR/SE/DSIC, 2010.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de
13 de junho de 2008. Disciplina a Gestão de Segurança da Informação e Comunicações
na Administração Pública Federal, direta e indireta, e dá outras providências. Brasília,
DF, GSI/PR, 2008.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 01/IN01/DSIC/GSI/PR. Atividade de
Normatização. Brasília, DF, GSI/PR, 2008.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 02/IN01/DSIC/GSI/PR. Metodologia de
Gestão de Segurança da Informação e Comunicações. Brasília, DF, GSI/PR, 2008.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 03/IN01/DSIC/GSI/PR. Diretrizes para a
Elaboração de Política de Segurança da Informação e Comunicações nos Órgãos e
Entidades da Administração Pública Federal. Brasília, DF, GSI/PR, 2009.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 04/IN01/DSIC/GSI/PR – Rev1. Diretrizes
para o processo de Gestão de Riscos de Segurança da Informação e Comunicações -
GRSIC nos órgãos e entidades da Administração Pública Federal. Brasília, DF, GSI/PR,
2013.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 05/IN01/DSIC/GSI/PR. Disciplina a
criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais
- ETIR nos órgãos e entidades da Administração Pública Federal. Brasília, DF, GSI/PR,
2009.
66
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 06/IN01/DSIC/GSI/PR. Estabelece
Diretrizes para Gestão de Continuidade de Negócios, nos aspectos relacionados à
Segurança da Informação e Comunicações, nos órgãos e entidades da Administração
Pública Federal, direta e indireta – APF. Brasília, DF, GSI/PR, 2009.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 07/IN01/DSIC/GSI/PR – Rev1. Estabelece
as Diretrizes para Implementação de Controles de Acesso Relativos à Segurança da
Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal
(APF), direta e indireta. Brasília, DF, GSI/PR, 2014.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 08/IN01/DSIC/GSI/PR. Estabelece as
Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos órgãos e
entidades da Administração Pública Federal. Brasília, DF, GSI/PR, 2010.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 09/IN01/DSIC/GSI/PR – Rev2. Estabelece
orientações específicas para o uso de recursos criptográficos em Segurança da
Informação e Comunicações, nos órgãos ou entidades da Administração Pública
Federal (APF), direta e indireta. Brasília, DF, GSI/PR, 2014.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 10/IN01/DSIC/GSI/PR. Estabelece
diretrizes para o processo de Inventário e Mapeamento de Ativos de Informação, para
apoiar a Segurança da Informação e Comunicações (SIC), dos órgãos e entidades da
Administração Pública Federal, direta e indireta – APF. Brasília, DF, GSI/PR, 2012.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 11/IN01/DSIC/GSI/PR. Estabelece
diretrizes para avaliação de conformidade nos aspectos relativos à Segurança da
Informação e Comunicações (SIC) nos órgãos ou entidades da Administração Pública
Federal, direta e indireta – APF. Brasília, DF, GSI/PR, 2012.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 12/IN01/DSIC/GSI/PR. Estabelece
diretrizes e orientações básicas para o uso de dispositivos móveis nos aspectos
referentes à Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da
Administração Pública Federal (APF), direta e indireta. Brasília, DF, GSI/PR, 2012.
67
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 13/IN01/DSIC/GSI/PR. Estabelece
diretrizes para a Gestão de Mudanças nos aspectos relativos à Segurança da
Informação e Comunicações (SIC) nos órgãos e entidades da Administração Pública
Federal, direta e indireta (APF). Brasília, DF, GSI/PR, 2012.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 14/IN01/DSIC/GSI/PR. Estabelece
diretrizes para a utilização de tecnologias de Computação em Nuvem, nos aspectos
relacionados à Segurança da Informação e Comunicações (SIC), nos órgãos e entidades
da Administração Pública Federal (APF), direta e indireta. Brasília, DF, GSI/PR, 2012.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 15/IN01/DSIC/GSI/PR. Estabelece
diretrizes de Segurança da Informação e Comunicações para o uso de redes sociais,
nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta.
Brasília, DF, GSI/PR, 2012.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 16/IN01/DSIC/GSI/PR. Estabelece as
Diretrizes para o Desenvolvimento e Obtenção de Software Seguro nos Órgãos e
Entidades da Administração Pública Federal, direta e indireta. Brasília, DF, GSI/PR,
2012.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 17/IN01/DSIC/GSI/PR. Estabelece
Diretrizes nos contextos de atuação e adequações para Profissionais da Área de
Segurança da Informação e Comunicações (SIC) nos Órgãos e Entidades da
Administração Pública Federal (APF). Brasília, DF, GSI/PR, 2013.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 18/IN01/DSIC/GSI/PR. Estabelece as
Diretrizes para as Atividades de Ensino em Segurança da Informação e Comunicações
(SIC) nos Órgãos e Entidades da Administração Pública Federal (APF). Brasília, DF,
GSI/PR, 2013.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 19/IN01/DSIC/GSI/PR. Estabelece
Padrões Mínimos de Segurança da Informação e Comunicações para os Sistemas
68
Estruturantes da Administração Pública Federal (APF), direta e indireta. Brasília, DF,
GSI/PR, 2014.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 20/IN01/DSIC/GSI/PR – Rev1. Estabelece
as Diretrizes de Segurança da Informação e Comunicações para Instituição do Processo
de Tratamento da Informação nos órgãos e entidades da Administração Pública
Federal (APF), direta e indireta. Brasília, DF, GSI/PR, 2014.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 01, de 13
de junho de 2008. Norma Complementar nº 21/IN01/DSIC/GSI/PR. Estabelece as
Diretrizes para o Registro de Eventos, Coleta e Preservação de Evidências de Incidentes
de Segurança em Redes nos órgãos e entidades da Administração Pública Federal,
direta e indireta. Brasília, DF, GSI/PR, 2014.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 02, de
de 5 de fevereiro de 2013. Dispõe sobre o Credenciamento de segurança para o
tratamento de informação classificada, em qualquer grau de sigilo, no âmbito do Poder
Executivo Federal. Brasília, DF, GSI/PR, 2013.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Instrução Normativa GSI/PR nº 03, de
de 6 de março de 2013. Dispõe sobre os parâmetros e padrões mínimos dos recursos
criptográficos baseados em algoritmos de Estado para criptografia da informação
classificada no âmbito do Poder Executivo Federal. Brasília, DF, GSI/PR, 2013.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Portaria nº 31
– GSIPR/CH, de 06 de outubro de 2008. Institui a Rede Nacional de Segurança da
Informação e Criptografia - RENASIC. Brasília, DF, GSI/PR, 2008.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Portaria nº 45,
de 8 de setembro de 2009. Institui, no âmbito da Câmara de Relações Exteriores e
Defesa Nacional (CREDEN), o Grupo Técnico de Segurança Cibernética e dá outras
providências. Diário Oficial [da] República Federativa do Brasil, Brasília, DF, 9 set. 2009.
Disponível em:
<http://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?jornal=1&pagina=2&data=
09/09/2009>. Acesso em Março de 2015.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Departamento
de Segurança da Informação e Comunicações. Guia de referência para a segurança
das infraestruturas críticas da informação; organização Claudia Canongia, Admilson
Gonçalves Júnior e Raphael Mandarino Junior. Brasília, DF, PR/GSI/SE/DSIC, 2010.
69
BRASIL. Presidência da República. Portal Brasil. PNAD 2012: Percentual de internautas
cresce nas regiões Norte e Nordeste. 2013. Disponível em: <
http://www.brasil.gov.br/infraestrutura/2013/09/percentual-de-internautas-cresce-
nas-regioes-norte-e-nordeste-em-2012/>. Acesso em: Março de 2015.
BRASIL. Presidência da República. Secretaria de Assuntos Estratégicos. Brasil 2022 /
Secretaria de Assuntos Estratégicos. Brasília: Presidência da República, Secretaria de
Assuntos Estratégicos - SAE, 2010. 100 p.
BRASIL. TCU. Acórdão 1.145/2011-TCU-Plenário. 2011. Disponível em:
<http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20110512/AC_1145_15_1
1_P.doc>. Acessado em: Março de 2015.
BRASIL. TCU. Acórdão 1.233/2012-TCU-Plenário. 2012. Disponível em:
<http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20120528/AC_1233_19_1
2_P.doc>. Acessado em: Março de 2015.
BRASIL. TCU. Acórdão 2.308/2010-TCU-Plenário. 2010. Disponível em:
<http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20100913/AC_2308_33_1
0_P.doc>. Acessado em: Março de 2015.
BRASIL. TCU. Acórdão 2.585/2012-TCU-Plenário. 2012. Disponível em:
<http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20121112/AC_2585_38_1
2_P.doc>. Acessado em: Março de 2015.
BRASIL. TCU. Acórdão 3.051/2014-TCU-Plenário. 2014. Disponível em:
<http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20141107/AC_3051_44_1
4_P.doc>. Acessado em: Março de 2015.
BRASIL. TCU. Acórdão 3.117/2014-TCU-Plenário. 2014. Disponível em: <
<http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20141114/AC_3117_45_1
4_P.doc>. Acessado em: Março de 2015.
COMISÃO EUROPEIA. Comunicação da comissão ao parlamento europeu, ao
conselho, ao comité económico e social europeu e ao comité das regiões. Uma
Agenda Digital para a Europa, 2010. Disponível em:
<http://www.umic.pt/images/stories/publicacoes3/Digital%20Agenda%20Comunic%2
0COM%202010-05-19%20PT.pdf>. Acesso em Fevereiro de 2015.
E-BIT. Evolução da Internet e do e-commerce. Faturamento anual do e-commerce no
Brasil – Bilhões. Disponível em: < http://www.e-commerce.org.br/stats.php>. Acesso
em: Março de 2015.
EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY (ENISA), National Cyber
Security Strategies - Practical Guide on Development and Execution, European
Network and Information Security Agency (ENISA), dezembro de 2012. Disponível em:
<http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-
strategies-ncsss/national-cyber-security-strategies-an-implementation-
guide/at_download/fullReport>. Acesso em Fevereiro de 2015.
70
EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY (ENISA). National Cyber
Security Strategies - Setting the course for national efforts to strengthen security in
cyberspace, maio de 2012. Disponível em:
<http://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-
strategies-ncsss/cyber-security-strategies-paper/at_download/fullReport >. Acesso em
Fevereiro de 2015.
EUROPEAN UNION. Cyber security Strategy of the European Union. An Open, Safe and
Secure Cyberspace European Commission, JOIN Final, 2013. Disponível em:
<http://eeas.europa.eu/policies/eu-cyber-security/cybsec_comm_en.pdf>. Acesso em
Fevereiro de 2015.
GERMANY - FEDERAL MINISTRY OF THE INTERIOR. Cyber Security Strategy for
Germany, 2011. Disponível em:
<https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/CyberSecurity
/Cyber_Security_Strategy_for_Germany.pdf?__blob=publicationFile>. Acesso em
Fevereiro de 2015.
GOVERNMENT OF CANADA. Canada’s Cy er Se urity Strategy. For a stronger and
more prosperous Canada, 2010. Disponível em:
<https://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/cbr-scrt-strtgy/cbr-scrt-strtgy-
eng.pdf>. Acesso em Fevereiro de 2015.
IT GOVERNANCE INSTITUTE. COBIT 5: Modelo Corporativo para Governança e Gestão
de TI. ISACA. 2012.
ITALY - PRESIDENCY OF THE COUNCIL OF MINISTERS. National Strategic Framework
for Cyberspace Security, 2014. Disponível em:
<http://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2014/02/italian-
national-strategic-framework-for-cyberspace-security.pdf>. Acesso em Fevereiro de
2015.
KAPLAN, R. S.; NORTON, D. P.; Using the Balanced Scorecard as a Strategic
Management System, Harvard Business Review, p. 75-85, Jan/Fev, 1996.
KENYA - MINISTRY OF INFORMATION. Communications and Technology. National
Cybersecurity Strategy 2014, 2014. Disponível em: <http://www.icta.go.ke/wp-
content/uploads/2014/03/GOK-national-cybersecurity-strategy.pdf>. Acesso em
Fevereiro de 2015.
LUIIJF, E.; BESSELING, K.; DE GRAAF, P.; Nineteen National Cyber Security Strategies,
Int. J. Critical Infrastructures, Vol. 9, Nºs. 1/2, 2013. Disponível em: <
http://www.researchgate.net/profile/Eric_Luiijf/publication/261950643_Nineteen_Na
tional_Cyber_Security_Strategies/links/543545380cf2bf1f1f286509.pdf>. Acesso em
Fevereiro de 2015.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST). Cyber security
Framework Development Overview. NI“T’s Role i I ple e ti g Exe uti e O de
71
13636, Improving Critical Infrastructure Cybersecurity, Presentation to ISPAB, 2013.
Disponível em: <http://csrc.nist.gov/groups/SMA/ispab/documents/minutes/2013-
06/ispab_june2013_sedgewick.pdf>. Acesso em Fevereiro de 2015.
NEW ZEALAND GOVERNMENT. New Zealand's Cyber Security Strategy, 2011.
Disponível em: <http://www.dpmc.govt.nz/sites/all/files/publications/nz-cyber-
security-strategy-june-2011_0.pdf>. Acesso em Fevereiro de 2015.
ORGANISATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT (OECD).
Cybersecurity Policy Making at a Turning Point: Analysing a New Generation of
National Cybersecurity Strategies for the Internet Economy, OECD Digital Economy
Papers, No. 211, OECD Publishing, 2012. Disponível em:
<http://www.oecd.org/sti/ieconomy/cybersecurity%20policy%20making.pdf>. Acesso
em Fevereiro de 2015.
SILVA, Leandro Costa da. O Balanced Scorecard e o Processo Estratégico. Caderno de
Pesquisas em Administração. São Paulo, v. 10, nº 4, p. 61-73, outubro/dezembro de
2003.
SILVA, Roselito Felix da. Proposta de Adaptação do Modelo Balanced Sorecard – BSC
para a Gestão de Segurança da Informação em Órgãos Da Administração Pública,
Dissertação de Mestrado em Engenharia Elétrica, UnB, Brasília, DF, 2010.
SILVA, Roselito Felix da; FELIX, Patrícia do Prado; TIMÓTEO, Rafael; Balanced
Scorecard: Adequação Para a Gestão Estratégica nas Organizações Públicas; Revista
do Serviço Público Brasília 62 (1): p. 51-74, Jan/Mar 2011.
SWITZERLAND. National strategy for the protection of Switzerland against cyber risks,
2012. Disponível em: <http://www.enisa.europa.eu/activities/Resilience-and-
CIIP/national-cyber-security-strategies-
ncsss/National_strategy_for_the_protection_of_Switzerland_against_cyber_risksEN.p
df>. Acesso em Fevereiro de 2015.
TAKAHASHI, Tadao (org.). Livro verde da Sociedade da Informação no Brasil. Brasília,
DF, Ministério da Ciência e Tecnologia, 2000.
UNITED KINGDOM. The UK Cyber Security Strategy. Protecting and promoting the UK
in a digital world, 2011. Disponível em:
<https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/60
961/uk-cyber-security-strategy-final.pdf>. Acesso em Fevereiro de 2015.
UNITED NATIONS. General Assembly. Resolution 68/167. The right to privacy in the
digital age. United Nations Publications , United States, 2013. Disponível em:
<http://www.un.org/en/ga/search/view_doc.asp?symbol=A/RES/68/167>. Acesso em:
Março de 2015.
UNITED STATES. Government Accountability Office. National Strategy, Roles, and
Responsibilities Need to Be Better Defined and More Effectively, 2013. Disponível
em: <http://www.gao.gov/assets/660/652170.pdf>. Acesso em fevereiro de 2015.
72
UNITED STATES. Seal of the President Of the United States. International Estrategy for
Cyberspace, Prosperity, Security, and Openness in a Networked World, 2011.
Disponível em:
<http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_fo
r_cyberspace.pdf>. Acesso em Fevereiro de 2015.
UNITED STATES. Seal of the President of the United States. National Security Strategy,
2015. Disponível em:
<http://www.whitehouse.gov/sites/default/files/docs/2015_national_security_strateg
y.pdf>. Acesso em Fevereiro de 2015.
UNITED STATES. USA - Cyber Space Policy Review - Assuring a Trusted and Resilient
Information and Communications Infrastructure, Review Final, 2009. Disponível em:
<https://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pd
f>. Acesso em Fevereiro de 2015.
WAMALA, Frederick. The ITU National Cybersecurity Strategy Guide, International
Telecommunications Union (ITU), 2011. Disponível em: <http://www.itu.int/ITU-
D/cyb/cybersecurity/docs/ITUNationalCybersecurityStrategyGuide.pdf>. Acesso em
Fevereiro de 2015.
WORLD CONFERENCE ON INTERNATIONAL TELECOMMUNICATIONS, WCIT-12, 2012,
Dubai. Final Acts of the World Conference on International Telecommunications
(WCIT-12). Switzerland, International Telecommunication Union (ITU), 2012.
WORLD ECONOMIC FORUM – Report of WEF/2014. 2014. Disponível em:
<http://www.weforum.org/reports/global-risks-2014-report
WORLD ECONOMIC FORUM – Report of WEF/2015, 2015. Disponível em:
<http://reports.weforum.org/global-risks-2015/
ZIMMERMAN, Carson. Ten Strategies of a World-Class Cybersecurity Operations
Center, The MITRE Corporation, 2014. Disponível em:
<http://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-
strategies-cyber-ops-center.pdf>. Acesso em Fevereiro de 2015.
73
ANEXO I
MODELO DE GOVERNANÇA SISTÊMICA DE SIC
E DE SEGCIBER DA APF - NÍVEL POLÍTICO
ESTRATÉGICO
74
e) Órgãos e Instituições Colaboradoras: são representados por instituições de
governo (demais entes federativos), da academia, do setor privado e do
terceiro setor, que mantenham vínculo de qualquer natureza com os órgãos
e entidades da APF, sejam Órgãos Gestores Setoriais Nível A, Órgãos
Gestores Setoriais Nível B ou Órgãos Gestores Seccionais.
f) Instâncias de assessoramento e apoio à decisão do Sistema de SIC e
SegCiber da APF:
I. Comitê Gestor de Segurança da Informação (CGSI/CDN): comitê de
nível estratégico que assessora a Secretaria Executiva do CDN nas
questões relativas à segurança da informação, o qual se reúne
mensalmente sob a coordenação do GSI/PR, e conta com 17 órgãos
da APF, será consultado, no âmbito deste Sistema, como apoio nas
deliberações das diretrizes e normativos de SIC e SegCiber da APF. O
CGSI conta com o GSI/PR (que o coordena); além dos seguintes
órgãos CC/PR; CGU; AGU; SECOM/PR; SG/PR; MJ; MD; MRE; MF;
MPS; MS; MDIC; MP; MC; MCTI; MME;
II. Câmara Multissetorial de SIC e de SegCiber da APF: câmara
consultiva, coordenada pelo GSI/PR, a ser criada em até 90 dias da
publicação desta Estratégia, com no máximo 20 instituições,
apresentando 55% de representação do Governo, e os demais
distribuídos entre academia, setor privado e terceiro setor. A
Câmara se reunirá ordinariamente a cada três meses, e
extraordinariamente a qualquer tempo.
III. Conferência de SIC e de SegCiber da APF: a ser promovida a cada
dois anos, como espaço multissetorial e multistakeholder de troca
de conhecimento e de boas práticas, bem como de promoção da
inovação, com representantes do país e do exterior;
IV. Audiências e Consultas Públicas: espaços para ampliar o diálogo
com a sociedade em nível nacional.
75
Figura 3 - Modelo de Governança Sistêmica de SIC e de SegCiber da APF
76
ANEXO II
GLOSSÁRIO DA ESTRATÉGIA
77
Disponibilidade: Propriedade de que a informação esteja acessível e utilizável sob
demanda por uma pessoa física ou determinado sistema, órgão ou entidade (IN 01
GSI/PR, 2008).
Empresa Estratégica de Defesa (EED): Toda pessoa jurídica credenciada pelo Ministério
da Defesa mediante o atendimento cumulativo das seguintes condições: (a) ter como
finalidade, em seu objeto social, a realização ou condução de atividades de pesquisa,
projeto, desenvolvimento, industrialização, prestação dos serviços referidos no art. 10
da Lei nº 12.598/2012, produção, reparo, conservação, revisão, conversão,
modernização ou manutenção de PED no País, incluídas a venda e a revenda somente
quando integradas às atividades industriais supracitadas; (b) ter no País a sede, a sua
administração e o estabelecimento industrial, equiparado a industrial ou prestador de
serviço; (c) dispor, no País, de comprovado conhecimento científico ou tecnológico
próprio ou complementado por acordos de parceria com Instituição Científica e
Tecnológica para realização de atividades conjuntas de pesquisa científica e
tecnológica e desenvolvimento de tecnologia, produto ou processo, relacionado à
atividade desenvolvida; (d) assegurar, em seus atos constitutivos ou nos atos de seu
controlador direto ou indireto, que o conjunto de sócios ou acionistas e grupos de
sócios ou acionistas estrangeiros não possam exercer em cada assembleia geral
número de votos superior a 2/3 (dois terços) do total de votos que puderem ser
exercidos pelos acionistas brasileiros presentes; e (e) assegurar a continuidade
produtiva no País (Lei 12.598/2012).
Engenharia Social: Técnica que utiliza o poder de influenciar pessoas visando a quebra
de segurança para a obtenção indevida de informação ou para acesso, físico ou lógico,
não autorizado (adaptado por: Grupo de Trabalho da Estratégia de SIC e SegCiber da
APF, 2015).
Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR:
Grupo de pessoas com a responsabilidade de receber, analisar e responder às
notificações e atividades relacionadas a incidentes de segurança em redes de
computadores (NC 05/IN01/DSIC/GSI/PR, 2009).
Gestão de riscos de segurança da informação e comunicações: Conjunto de processos
que permite identificar e implementar as medidas de proteção necessárias para
minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de informação, e
equilibrá-los com os custos operacionais e financeiros envolvidos (NC
04/IN01/DSIC/GSI/PR, 2009).
Guerra cibernética: Conjunto de ações para uso ofensivo e defensivo de informações e
sistemas de informações para negar, explorar, corromper ou destruir valores do
adversário baseados em informações, sistemas de informação e redes de
computadores. Estas ações são elaboradas para obtenção de vantagens tanto na área
militar quanto na área civil (Glossário MD35-G-01, 2007).
Impacto: Mudança adversa no nível obtido dos objetivos do negócio (ABNT, 2011).
78
Incidente de segurança: É qualquer evento adverso, confirmado ou sob suspeita,
relacionado à segurança dos sistemas de computação ou das redes de computadores
(NC 05/IN01/DSIC/GSI/PR, 2009).
Infraestruturas Críticas da Informação: Subconjunto de ativos de informação que
afetam diretamente a consecução e a continuidade da missão do Estado e a segurança
da sociedade (Portaria 34 SE-CDN, 2009; NC 10/IN01/DSIC/GSI/PR, 2012).
Infraestruturas Críticas: Instalações, serviços, bens e sistemas que, se forem
interrompidos ou destruídos, provocarão sério impacto social, econômico, político,
internacional ou à segurança do Estado e da sociedade (Portaria 45 GSI/PR, 2009).
Nível de Maturidade em SIC e SegCiber: Estágio das práticas de SIC e SegCiber nos
órgãos e entidades da APF, baseado em escala, que mede e avalia um conjunto de
objetivos que, quando satisfeitos, promovem a melhoria da qualidade na busca da
excelência (adaptado por: Grupo de Trabalho da Estratégia de SIC e SegCiber da APF,
2015).
PDCA: Plan-Do-Check-Act, metodologia de melhoria contínua referenciada pela norma
ABNT NBR ISO/IEC 27001 (NC 02/IN01/DSIC/GSI/PR, 2008).
Quebra de Segurança: Ação ou omissão, intencional ou acidental, que resulta no
comprometimento da segurança da informação e das comunicações (IN 01 GSI/PR,
2008).
Resiliência: Poder de recuperação ou capacidade de uma organização resistir aos
efeitos de um desastre (NC 06/IN01/DSIC/GSI/PR, 2009).
Riscos de segurança da informação e comunicações: Potencial associado à exploração
de uma ou mais vulnerabilidades de um ativo de informação ou de um conjunto de tais
ativos, por parte de uma ou mais ameaças, com impacto negativo no negócio da
organização. (NC 04/IN01/DSIC/GSI/PR, 2009).
Segurança Cibernética: Arte de assegurar a existência e a continuidade da Sociedade
da Informação de uma Nação, garantindo e protegendo, no Espaço Cibernético, seus
ativos de informação e suas infraestruturas críticas (Portaria 45 SE-CDN, 2009; BRASIL.
GSI/PR, 2010).
Segurança da Informação e Comunicações: Ações que objetivam viabilizar e assegurar
a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações
(IN 01 GSI/PR, 2008).
Segurança da Informação: Proteção dos sistemas de informação contra a negação de
serviço a usuários autorizados, assim como contra a intrusão, e a modificação
desautorizada de dados ou informações, armazenados, em processamento ou em
trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação
e do material, das áreas e instalações das comunicações e computacional, assim como
as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu
desenvolvimento (Decreto nº 3.505, 2000).
79
Tecnologia da Informação e Comunicação (TIC): Recursos necessários para adquirir,
processar, armazenar e disseminar informações (NBR ISO/IEC 38500: 2009).
Vulnerabilidade: Propriedade intrínseca de algo resultando em suscetibilidade a uma
fonte de risco que pode levar a um evento com uma conseqüência (ISO 31000, 2009).
Conjunto de fatores internos ou causa potencial de um incidente indesejado, que
podem resultar em risco para um sistema ou organização, os quais podem ser evitados
por uma ação interna de segurança da informação (NC 04/IN01/DSIC/GSI/PR, 2009).
80